[求助]关于重定向表的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (1)
麻木的时间雪币： 15 活跃值： (3546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 84 粉丝 16 关注私信	麻木的时间 2 楼 bool RelocImageBuffer(PVOID pImage,DWORD dwNewImageBase) { if (!pImage) { printf("模块地址为空\n"); Sleep(2000); return false; } //目标根据重定位表找到需要修改的地址然后判断如果新的模块基址大于原来的ImageBase PVOID pOptionHeader=0; GetPEOptionHeader(pImage,&pOptionHeader); //得到原来的ImageBase DWORD dwOldImageBase=((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->ImageBase; //修改ImageBase ((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->ImageBase=dwNewImageBase; //判断是否有重定位表 if (!((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->DataDirectory[5].VirtualAddress) { printf("没有重定位表"); Sleep(5000); ExitThread(-1); return false; } //获取重定位页的位置 PVOID pRelocPage=((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->DataDirectory[5].VirtualAddress+(PCHAR)pImage; PRELOC_INFO pRelocInfo=(PRELOC_INFO)pRelocPage; while (pRelocInfo->VirtualAddress &&pRelocInfo->Size) { //找到需要修改的地址 DWORD dwIndex=0; while (dwIndex<(pRelocInfo->Size-8)/2) { PVOID dwModifyAddr=(PCHAR)pRelocInfo+8+dwIndex2; //如果最高位为3 则修改 PRELOCCOLUM pRelocColum=(PRELOCCOLUM)dwModifyAddr; if (pRelocColum->Flag==3) { //要修改的地址=imagebase+页+具体项 dwModifyAddr=(PCHAR)pImage+pRelocInfo->VirtualAddress+pRelocColum->Address; (DWORD*)dwModifyAddr+=dwNewImageBase-dwOldImageBase; } dwIndex++; } //下一页=上一页的RVA+size PCHAR pRelocAddr=(PCHAR)pRelocInfo; pRelocAddr+=pRelocInfo->Size; pRelocInfo=(PRELOC_INFO)pRelocAddr; } return true; } 这是我以前写的。你自己对照下。 2019-6-24 22:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

麻木的时间

雪币： 15

活跃值： (3546)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

麻木的时间: 2 楼

bool RelocImageBuffer(PVOID pImage,DWORD dwNewImageBase)
{
if (!pImage)
{
printf("模块地址为空\n");
Sleep(2000);
return false;
}

//目标  根据重定位表找到需要修改的地址  然后判断  如果新的模块基址大于原来的ImageBase
PVOID pOptionHeader=0;
GetPEOptionHeader(pImage,&pOptionHeader);

//得到原来的ImageBase
    DWORD dwOldImageBase=((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->ImageBase;

//修改ImageBase
((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->ImageBase=dwNewImageBase;
//判断是否有重定位表
if (!((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->DataDirectory[5].VirtualAddress)
{
printf("没有重定位表");
Sleep(5000);
ExitThread(-1);
return false;
}
   //获取重定位页的位置
    PVOID pRelocPage=((PIMAGE_OPTIONAL_HEADER)pOptionHeader)->DataDirectory[5].VirtualAddress+(PCHAR)pImage;

PRELOC_INFO pRelocInfo=(PRELOC_INFO)pRelocPage;
while (pRelocInfo->VirtualAddress &&pRelocInfo->Size)
{
    //找到需要修改的地址
DWORD dwIndex=0;
while (dwIndex<(pRelocInfo->Size-8)/2)
{
PVOID dwModifyAddr=(PCHAR)pRelocInfo+8+dwIndex*2;
//如果最高位为3 则修改
PRELOCCOLUM pRelocColum=(PRELOCCOLUM)dwModifyAddr;

if (pRelocColum->Flag==3)
{
//要修改的地址=imagebase+页+具体项
dwModifyAddr=(PCHAR)pImage+pRelocInfo->VirtualAddress+pRelocColum->Address;
*(DWORD*)dwModifyAddr+=dwNewImageBase-dwOldImageBase;
}

dwIndex++;
}
//下一页=上一页的RVA+size
PCHAR pRelocAddr=(PCHAR)pRelocInfo;
pRelocAddr+=pRelocInfo->Size;
pRelocInfo=(PRELOC_INFO)pRelocAddr;

}

return true;
}
这是我以前写的。你自己对照下。

2019-6-24 22:48